Rapporto SANS Spotlight - L'impatto del ransomware sulle grandi imprese globali

Negli ultimi anni, il ransomware è diventato una delle minacce più gravi e diffuse che le organizzazioni devono affrontare oggi. In generale, nessuna violazione dei dati è un evento che un team di sicurezza vorrebbe mai affrontare. Tuttavia, il ransomware non è solo una violazione dei dati; le vittime del ransomware vengono spesso esposte pubblicamente dagli autori dell’attacco, che chiedono somme esorbitanti per garantire il rilascio dei dati bloccati. L'Unit 42 di Palo Alto ha riferito che nella prima metà del 2021 il riscatto medio per il ransomware è salito a 570.000 dollari. Entro la fine dello stesso anno, secondo un rapporto Mimecast del 2021 sui casi di ransomware, una compagnia assicurativa aveva pagato 40 milioni di dollari in riscatti.

Il ransomware ha inoltre influito in modo significativo sulla sicurezza aziendale. Ha ridefinito il modo in cui elaboriamo i piani di risposta agli incidenti, valutiamo le assicurazioni contro i rischi informatici e sviluppiamo processi aziendali basati sia sulla continuità operativa che sulla resilienza. Questo impatto potrebbe aver costretto le organizzazioni a considerare il proprio panorama delle minacce in modo diverso, portandole a prendere decisioni diverse da quelle inizialmente previste. Inoltre, ha conferito un nuovo significato sia alla definizione di "disastro" sia ai requisiti delle operazioni di ripristino. Non possiamo ignorare l'impatto che il ransomware ha avuto su alcune delle più grandi organizzazioni del mondo, specialmente se associato ai cambiamenti derivanti dalla recente pandemia di COVID-19.

In questo documento analizziamo l'impatto che il ransomware ha avuto sullo stato della sicurezza delle 2.000 maggiori aziende a livello mondiale (G2K). Il ransomware è diventato di per sé un "grande business" e, in quanto tale, ha prodotto effetti duraturi sulle normali operazioni aziendali, quali le attività di fusione e acquisizione e la crescita del settore. Il ransomware ha inoltre avuto ripercussioni di vasta portata sulle politiche federali e internazionali in materia di sicurezza informatica.

Sebbene spesso ci concentriamo principalmente sugli autori delle minacce, piuttosto che sugli obiettivi delle stesse, il ransomware, in quanto profilo di attacco, è troppo diffuso e ha un impatto troppo forte perché le organizzazioni possano ignorarlo. Come illustriamo in questo documento, il ransomware rappresenta una minaccia formidabile che ha cambiato il modo di operare di molte organizzazioni.

In questo periodo stiamo assistendo a un ampliamento delle tattiche, delle tecniche e dei vettori di accesso utilizzati dagli autori degli attacchi ransomware, che sfruttano rapidamente le vulnerabilità e zero-day per ottenere l'accesso e distribuire i primi payload del ransomware. Le organizzazioni che non sono consapevoli di queste minacce o che ignorano le tendenze del ransomware si troveranno colte alla sprovvista e saranno rapidamente vittime di questi attacchi. Sebbene il nostro documento si concentri sul G2K, incoraggiamo le organizzazioni di qualsiasi dimensione a:

• Implementare solide funzionalità di monitoraggio e rilevamento nei punti di accesso del ransomware, quali le vulnerabilità e le soluzioni di accesso remoto.
• Implementare funzionalità di rilevamento e risposta su endpoint e reti, sia in locale che nel cloud.
• Valutate l'adozione di strategie di difesa a più livelli per limitare la facilità con cui è possibile riutilizzare le credenziali e i movimenti laterali all'interno del vostro ambiente.
• Limitare la connettività di rete ai sistemi di backup e/o di ripristino di emergenza, che sono spesso bersaglio degli autori di attacchi ransomware.
• Assicurati che il tuo piano di risposta agli incidenti preveda la gestione delle denunce pubbliche.

Infine, vale la pena sottolineare che, sebbene il presente documento si concentri sulla minaccia del ransomware, molte delle raccomandazioni e delle misure di mitigazione qui descritte sono utili per contrastare l'ampia gamma di obiettivi che gli autori delle minacce si prefiggono di raggiungere. L'implementazione di requisiti rigorosi per l'accesso remoto o la limitazione della facilità di movimento laterale può bloccare sul nascere una moltitudine di avversari. A grande vantaggio di un team di sicurezza che cerca di ottenere il massimo rendimento dal proprio investimento, gli autori di attacchi ransomware spesso riciclano tecniche e tattiche, creando l'opportunità per gli analisti di sicurezza di individuare gli attacchi prima che si trasformino in violazioni.

L'impatto del ransomware su^G2K1

Come abbiamo già detto, le conseguenze del ransomware possono facilmente ripercuotersi su organizzazioni di ogni dimensione. Tuttavia, date le loro dimensioni e la loro portata, le organizzazioni G2K sono state vittime di alcuni degli attacchi ransomware più mediatici. Inoltre, in considerazione dei loro ingenti ricavi e della loro visibilità pubblica, le G2K rimangono in cima alla lista degli obiettivi degli hacker. Esse promettono infatti un bottino da ransomware più consistente di quanto le organizzazioni più piccole possano permettersi.

È interessante notare che si potrebbe anche sostenere che le organizzazioni G2K siano obiettivi ben protetti. Si potrebbe supporre che, a partire da un certo livello di fatturato, i reparti di sicurezza ricevano finanziamenti (potenzialmente consistenti) e che la sicurezza delle informazioni sia parte integrante delle operazioni aziendali. Purtroppo, come abbiamo imparato più e più volte, non è sempre così. Con questo non si vuole dire che i team di sicurezza delle grandi organizzazioni non stiano facendo un buon lavoro. Possiamo, tuttavia, imparare dalle loro esperienze. Esaminiamo e traiamo insegnamento dai casi di studio pubblici per determinare il modo migliore per implementare la sicurezza e garantire migliori pratiche di difesa.

Impatto sulla fiducia dei clienti: Accenture (G2K n. 169)

Il nostro primo caso di studio esamina l'impatto del ransomware sulla fiducia dei clienti nei confronti di un'organizzazione. La riservatezza dei clienti riveste un'importanza fondamentale per un'azienda come Accenture ed è spesso considerata uno dei principali fattori di differenziazione delle società di consulenza. Nell'agosto 2021, Accenture ha subito un attacco ransomware che ha portato al furto accertato di dati riservati dai propri sistemi informatici, creando una doppia minaccia.

In primo luogo, quando un aggressore viola la sicurezza, crittografa i dati e chiede un riscatto, l’organizzazione si trova già in preda al panico nel tentativo di individuare la causa principale dell’attacco e decidere quale linea d’azione intraprendere. Tuttavia, quando un’organizzazione è responsabile della custodia dei dati altrui, deve anche identificare rapidamente quali dati specifici siano stati compromessi o sottratti dall’ambiente. Inoltre, un'organizzazione vittima di un attacco deve rispondere a domande chiave come: "L'autore dell'attacco può utilizzare questi dati per danneggiare l'azienda o i suoi clienti?" Deve anche valutare se l'autore dell'attacco possa utilizzare i dati rubati per prendere di mira e attaccare con successo altre organizzazioni.

In generale, nei casi di ransomware in cui i dati rubati sono informazioni di identificazione personale (PII) o dati riservati, l'organizzazione deve concentrarsi sulla necessità di porre fine all'intrusione con urgenza. Senza un programma di sicurezza che preveda una "clausola" relativa al ransomware, un piano di risposta agli incidenti potrebbe rivelarsi troppo lento o non sufficientemente articolato per contrastare un attacco di questo tipo prima che si verifichino conseguenze dannose o per riportare l’organizzazione alla normalità a seguito dell’intrusione. Inoltre, una comprensione dettagliata e tempestiva di ciò che è accaduto e di quali dati siano stati potenzialmente sottratti è fondamentale per l’esito delle trattative. La decisione di Accenture avrebbe potuto essere diversa se fossero state sottratte grandi quantità di dati dei clienti.

Esito: gli hacker hanno affermato che erano stati sottratti 6 TB di dati e hanno chiesto un riscatto di 50 milioni di dollari. Tuttavia, Accenture ha ripristinato i sistemi interessati da un backup e ha confermato che non erano stati sottratti dati dei clienti.

Non vi è alcuna garanzia che i clienti decidano di abbandonare o rimanere a causa di un attacco ransomware. Tuttavia, la protezione dei dati dei clienti e della proprietà intellettuale dell'azienda dovrebbe rappresentare uno degli obiettivi principali dell'organizzazione. Il ransomware può fungere da catalizzatore per l'adozione di nuove politiche di sicurezza e l'implementazione di processi e controlli più rigorosi e avanzati, che il team di sicurezza dovrebbe accogliere e attuare nella misura più ampia possibile.

Impatto sulla Supply Chain globale: JBS USA (G2K n. 525)

Il nostro secondo caso di studio esamina l'impatto del ransomware sulle operazioni della catena di approvvigionamento e quanto possa essere devastante un attacco informatico per il mondo reale. Nel maggio 2021, JBS USA, uno dei maggiori fornitori di carne degli Stati Uniti, ha reso noto che un attacco ransomware aveva bloccato le operazioni di produzione in cinque stabilimenti, che lavoravano complessivamente 22.500 capi di bestiame al giorno. L'interruzione delle operazioni si è estesa anche agli stabilimenti in Australia, mettendo in evidenza quanto fossero interconnessi i sistemi di JBS.

JBS è un esempio perfetto di come un attacco ransomware possa avere ripercussioni su una catena di approvvigionamento globale. L'interruzione della produzione di carne ha colpito una lunga lista di clienti di JBS, tra cui ristoranti, negozi di alimentari e fornitori, come gli allevatori di bestiame. Questa interruzione potrebbe indurre sia i clienti che i fornitori di JBS a cercare alternative altrove e fornire agli autori dell'attacco un vantaggio per aumentare il costo della violazione causata dal ransomware. Inoltre, a seconda dell'entità dei danni subiti dai sistemi di produzione, potrebbero essere necessari giorni o settimane per tornare alla normale velocità operativa.

Esito: JBS ha ceduto alle richieste di riscatto e ha versato 11 milioni di dollari agli autori dell'attacco. Sebbene l'azienda affermi che nessun dato relativo alla società, ai clienti o ai dipendenti sia stato compromesso, è probabile che la decisione di pagare 11 milioni di dollari sia stata dettata dalla convinzione che fosse preferibile a un'ulteriore perdita di produzione per uno o più giorni.

Impatto sull'integrità dei dati e ricatti: Brenntag (G2K n. 1088)

Infine, il nostro terzo caso di studio esamina l'impatto sull'integrità dei dati causato da un attacco ransomware ai danni di Brenntag, un'azienda di distribuzione di prodotti chimici con sede in Germania. Nel maggio 2021 è stato reso noto che il gruppo di hacker DarkSide aveva compromesso la divisione nordamericana di Brenntag utilizzando credenziali rubate. Nel momento di massima intensità dell'attacco, gli hacker hanno lanciato il previsto payload di crittografia e hanno sottratto quasi 150 GB di file dall'ambiente.

Secondo quanto riferito dal gruppo di hacker al momento della divulgazione, i dati sottratti (che nelle mani degli aggressori non erano crittografati) includevano contratti, accordi di riservatezza, formule chimiche e documenti finanziari e contabili di fondamentale importanza. Sebbene non sappiamo se gli aggressori fossero in grado di comprendere appieno i dati in loro possesso, ne avevano ben chiara la valore e la probabilità che Brenntag volesse mantenerli riservati.

Sfruttando i dati rubati come leva, la richiesta iniziale del ransomware ammontava a 7,5 milioni di dollari. Secondo i dati di G2K, Brenntag è un’azienda dal valore di 14,2 miliardi di dollari; quindi 7,5 milioni di dollari sembrano una «goccia nell’oceano». Questo è un punto di vista che gli autori degli attacchi ransomware assumono spesso: si tratta di una quota talmente esigua del vostro valore che la sicurezza dei vostri dati deve pur valere questa modesta somma. Questa strategia si riflette nelle loro tattiche di negoziazione.

Esito: l'11 maggio 2021 Brenntag ha infine versato agli autori dell'attacco 4,4 milioni di dollari dei 7,5 milioni inizialmente richiesti. Sebbene spesso si svolga a porte chiuse, il processo di negoziazione con gli autori di attacchi ransomware è un'altra fase in cui gli aggressori investono tempo e competenze per ottenere il massimo riscatto possibile dall'organizzazione vittima dell'attacco.

L'impatto del ransomware sulla sicurezza

In soli tre brevi casi di studio, siamo riusciti a mettere in luce come un attacco ransomware possa avere un impatto immediato sulla fiducia dei clienti, sulle catene di approvvigionamento globali o sull'integrità dei dati. I tre attacchi che abbiamo esaminato rappresentano solo la punta dell'iceberg. Il ransomware si è trasformato in un settore multimiliardario, con alcune stime che lo collocano a oltre 10 miliardi di dollari nel 2021. Tuttavia, si potrebbe stranamente sostenere che il ransomware abbia anche modificato contemporaneamente sia il panorama delle minacce che quello della sicurezza aziendale.

Impatto sul rilevamento e sulla risposta agli incidenti

L'ambito in cui il ransomware ha avuto l'impatto maggiore è senza dubbio quello relativo alle modalità con cui le organizzazioni individuano gli incidenti e vi rispondono. Se ripensiamo alle violazioni dei dati dei primi anni 2010, ci troviamo di fronte a un panorama dominato prevalentemente da violazioni a scopo di lucro, spionaggio industriale o di Stato e hacktivismo. Il ransomware era considerato una minaccia “fastidiosa” che richiedeva solo poche centinaia di dollari e che spesso veniva facilmente risolta con tecniche di recupero dei dati.

Se guardiamo al periodo 2021-2022, gli autori degli attacchi ransomware hanno affinato le loro competenze. Oggi un attacco ransomware è in grado di individuare e colpire con precisione i meccanismi di recupero dei dati. Sono numerose le segnalazioni relative alla capacità degli autori di passare da zero al ruolo di amministratore di dominio e di eseguire la crittografia completa nel giro di poche ore, il che significa che i team di sicurezza hanno ancora meno tempo per stare al passo e neutralizzare la minaccia.

Gli autori degli attacchi ransomware hanno ulteriormente affinato le loro competenze concentrandosi sulle fasi successive alla crittografia. Le trattative vengono gestite da una figura separata che conosce la vittima, è in grado di discutere degli aspetti finanziari ed è disposta ad accettare una somma inferiore a quella richiesta inizialmente. Allo stesso tempo, gli autori degli attacchi ransomware non esitano a ricattare le vittime e a minacciarle con la divulgazione dei dati e altre situazioni imbarazzanti.

Questi parametri hanno trasformato il rilevamento e la risposta agli incidenti in alcuni aspetti fondamentali:

• I team di sicurezza devono essere in grado di individuare le minacce più rapidamente. Se gli avversari riescono a rimanere all'interno del sistema per giorni, i controlli di sicurezza potrebbero risultare troppo lenti e concedere agli autori degli attacchi ransomware troppo tempo per agire.
• Non si tratta più di individuare il payload del ransomware: a quel punto è ormai troppo tardi. Oggi l'attenzione deve concentrarsi sulle attività e sulle tecniche che precedono la diffusione del ransomware.
• Ora più che mai, i team di sicurezza dovrebbero affidarsi a tecnologie avanzate di rilevamento e risposta (sia a livello di rete che endpoint, ovvero NDR ed EDR, rispettivamente) per garantire capacità avanzate di rilevamento e gestione. La protezione contro gli attacchi che sfruttano account con privilegi è un aspetto fondamentale, data la loro importanza centrale negli attacchi moderni.
• I piani di risposta agli incidenti devono prevedere misure rapide in grado di neutralizzare immediatamente le minacce. I tempi in cui bastava inviare una richiesta di modifica per bloccare una porta del firewall sono ormai superati: si perde troppo tempo, soprattutto quando si ha a che fare con avversari esperti che si muovono alla velocità della luce all'interno di una rete piatta.
• I piani di risposta agli incidenti devono includere anche altri reparti "non tradizionali". Non tutti gli incidenti che si verificano all'interno di un'organizzazione richiedono necessariamente il coinvolgimento dell'ufficio legale o dell'ufficio relazioni pubbliche. Un attacco ransomware, tuttavia, potrebbe essere reso pubblico prima ancora che il team di sicurezza riesca a gestirlo. Ciò dovrebbe comportare il coinvolgimento di ulteriori soggetti, esperti nella gestione delle questioni rivolte all'esterno.

Per quanto riguarda il rilevamento degli incidenti e la risposta agli stessi, si presentano anche opportunità uniche per i team di sicurezza. Le preoccupazioni del consiglio di amministrazione e dei dirigenti riguardo a un attacco ransomware possono fornire lo slancio necessario per finanziare un determinato strumento o progetto, spostare le risorse vulnerabili in una "sede" più sicura o, infine, attuare le politiche e le procedure che il team di sicurezza sta cercando di ottenere da tempo.

È interessante notare che gli attacchi ransomware sono tra i pochi tipi di attacchi che si concentrano sull'esito dell'attacco stesso, piuttosto che sugli autori della minaccia e/o sui loro obiettivi. Sebbene si tratti di un punto di vista particolare, ciò non elimina la necessità di adottare misure di sicurezza di base, che possono rivelarsi fondamentali per contrastare ogni tipo di attacco, non solo il ransomware.

Ripercussioni sulle soluzioni di accesso remoto, sulle password e sulle autorizzazioni

Le soluzioni di accesso remoto fanno parte delle normali operazioni aziendali ormai da decenni; per gli amministratori non è certo una novità accedere ai sistemi per eseguire i consueti aggiornamenti IT, interventi di manutenzione e simili. Purtroppo, però, sono diventate anche uno dei vettori di accesso preferiti dagli autori di attacchi ransomware, ben consapevoli del fatto che i sistemi di accesso remoto, o “jump box”, sono spesso configurati con misure di sicurezza minime ma con autorizzazioni molto ampie.

Di conseguenza, i processi aziendali hanno dovuto valutare se apportare modifiche o adottare procedure completamente nuove per consentire agli amministratori l'accesso remoto. Sebbene ciò possa sembrare una semplice misura di sicurezza di base, il ransomware è stato uno dei principali fattori che hanno spinto verso l'adozione dell'autenticazione a più fattori, l'uso obbligatorio della VPN o l'eliminazione totale delle soluzioni di accesso remoto.

Il ransomware ha influito anche sul modo in cui le organizzazioni gestiscono le password e le autorizzazioni dei propri utenti. Troppo spesso assistiamo a violazioni dei dati che coinvolgono account dotati di autorizzazioni eccessive, scarse misure di sicurezza perimetrale e credenziali facilmente intuibili. Anche all’interno della popolazione G2K, si tratta di un problema preesistente che si presta facilmente allo sfruttamento da parte degli aggressori. Inoltre, l’analisi forense e la risposta agli incidenti possono risultare difficili quando un aggressore si “mimetizza” nel traffico normale.

Il ransomware può tuttavia fungere da catalizzatore per attuare quei cambiamenti organizzativi di cui c'è grande bisogno. L'implementazione dell'autenticazione a più fattori è una buona pratica che i professionisti della sicurezza raccomandano da anni: può scoraggiare il ransomware e altri tipi di attacchi da parte di malintenzionati che non hanno il tempo di superare un ostacolo di sicurezza così "robusto".

Sarebbe negligente da parte nostra non sottolineare che una misura semplice come l'autenticazione a più fattori può ridurre di una percentuale a due cifre il tasso di successo degli aggressori. Un numero significativo di attacchi si basa su credenziali deboli e a fattore singolo per l'accesso remoto. L'introduzione di un ostacolo può vanificare l'automazione degli aggressori, impedire la vendita delle credenziali e sventare un attacco che altrimenti risulterebbe facile.

Impatto sulle vulnerabilità e sui cicli di vita dello sviluppo del software (SDLC)

Il ransomware ha avuto un impatto positivo anche sulla gestione delle vulnerabilità e sui cicli di vita dello sviluppo del software. Ciò deriva da un recente cambiamento (negli ultimi 24 mesi) negli attacchi ransomware, che hanno avuto origine da vulnerabilità e exploit piuttosto che dai tradizionali metodi di accesso remoto o dallo spearphishing. La rapida strumentalizzazione e lo sfruttamento di vulnerabilità diffuse hanno introdotto un nuovo vettore che consente agli aggressori di distribuire il ransomware, un'altra tendenza di cui i team di sicurezza devono essere consapevoli. A seconda di come la vulnerabilità è collegata all'ambiente, gli avversari potrebbero essere in grado di distribuire rapidamente il loro ransomware con le autorizzazioni necessarie.

Ad esempio, tra marzo e aprile 2021 sono state corrette diverse vulnerabilità che interessavano il server Exchange on-premise di Microsoft, nelle versioni 2013, 2016 e 2019. Quasi contemporaneamente all’annuncio delle vulnerabilità, gli hacker avevano già messo a punto strumenti di attacco e avviato la ricerca di server Exchange esposti a Internet e vulnerabili, che ovviamente erano migliaia. A questo punto, un semplice abbinamento di script e scanner automatizzati ha fatto il lavoro sporco.

La portata con cui gli aggressori sono in grado di automatizzare le proprie operazioni introduce nuove complessità: da qui la necessità di un programma adeguato di gestione delle vulnerabilità e del ciclo di vita del software. Quando viene segnalata una vulnerabilità in un prodotto o in una libreria software, i team di sicurezza non hanno a disposizione giorni o settimane per identificarla e catalogarla. Tale compito deve essere svolto in anticipo. In questa discussione si possono includere anche i programmi di visibilità delle risorse, poiché forniscono ai team di sicurezza informazioni dettagliate sulle risorse e possono combinare il meglio di entrambi i mondi con un catalogo del software installato.

Considerazioni finali

In questo white paper abbiamo analizzato l'impatto del ransomware sulle 2.000 aziende più grandi al mondo. Sebbene il ransomware colpisca organizzazioni ben oltre questa lista – dopotutto, i soldi sono soldi – vale la pena osservare come le aziende dotate di risorse affrontano questa minaccia. Il fatturato è sinonimo di investimenti nella sicurezza informatica? Rende la rete (o le reti) di un'organizzazione un bersaglio più appetibile? È entrambe le cose, o forse anche di più?

Riteniamo che, nonostante si tratti di un attacco non mirato, gli insegnamenti tratti dalle violazioni note causate dal ransomware G2K possano aiutare altre organizzazioni a mettere in atto difese più solide. L'adozione di protocolli rigorosi, come quelli relativi all'accesso remoto, e l'implementazione di programmi efficaci di monitoraggio e gestione delle vulnerabilità possono costituire un deterrente significativo nei confronti degli aggressori. Un team di sicurezza ben informato è sempre pronto a scendere in "battaglia" e a contrastare qualsiasi minaccia, compreso il ransomware.

---

^{1 Le} classifiche G2K riportate nei sottotitoli sono tratte dalla lista Global 2000 2021 di Forbes